Versione delle 09:11, 12 mag 2012 modifica 188.153.88.171 (discussione) Nessun oggetto della modifica ← Differenza precedente		Versione delle 09:14, 12 mag 2012 modifica annulla 188.153.88.171 (discussione) Nessun oggetto della modifica Differenza successiva →
Riga 15: == L'attacco == Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste [[Hyper Text Transfer Protocol\|HTTP]], sia [[GET]] che [[POST]] (ad esempio, l'input di una stringa in un form di ricerca). Per verificare la vulnerabilità di un sito è sufficiente (ad esempio) provare ad inserire del codice [[~~javascript~~JavaScript]] o [[SQL]] nel suo campo di ricerca allo scopo di produrre effetti sulla pagina risultante, causando l'esecuzione del codice inserito. Il seguente è un semplice frammento di codice JavaScript adatto al test:<br /> <source lang="html4strict"><script type="text/javascript">alert('XSS')</script></source><br /> Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di [[cookie]] a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.

Cross-site scripting: differenze tra le versioni